Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ
Wie kontinuierliche Zusammenarbeit bei Vodafone die Cybersicherheit stärkt
Wie konnte denn das passieren? Nur ein Klick auf einen harmlos aussehenden Anhang einer E-Mail kann ausreichen, um eine Lawine in den IT-Systemen in Gang zu setzen. Diese Lawine gräbt sich dann so leise und unscheinbar ins System, dass es schwer ist, sie schnell zu identifizieren und zu eliminieren. Sind die Systeme erstmal infiziert, versucht der Angreifer zum Beispiel über Schadprogramme Zugangsdaten zu stehlen. Diese werden dann teilweise genutzt, um die legitime Software zu missbrauchen, die zur Administration der hauseigenen IT-Systeme benutzt wird. Es scheint so, als ob ein interner Administrator sich in den Systemen bewegt. In der Regel werden dann sensitive Daten gestohlen. Alle kompromittierten Systeme werden nun verschlüsselt. Einige Angreifer gehen auch aktiv auf Kund:innen des Opfers oder die Öffentlichkeit zu, um weiteren Druck zu erzeugen.
Alle 40 Sekunden wird ein Unternehmen gehackt. Daher ist es keine Frage des „Obs“, sondern eine Frage der Zeit, bis ein Unternehmen gehackt wird und es ist dringend notwendig, offen über diese Cybersecurity- Fälle zu reden. Allein in Deutschland entsteht durch Hackerangriffe jährlich ein finanzieller Schaden von über 200 Milliarden Euro – Tendenz steigend. Sind es im privaten Bereich eher Fälle von Identitätsdiebstahl, Sextortion oder Fake-Shops, stellen Ransomware, offene oder falsch konfigurierte Online-Server und IT-Supply- Chains die Top 3 Bedrohungen für Unternehmen dar (Quelle BSI).
Sicherheit als Teil der Unternehmenskultur
Und die Anzahl neuer Technologien wächst stetig weiter. Das finde ich als Tech-Nerd und als CIO einer Tech Company natürlich einerseits richtig gut. Doch mit den neuen Technologien wachsen eben auch die Einfallstore für Cyber-Kriminelle. Fast niemand spricht aber offen über die Gefahren und die eigenen Fehler, die gemacht wurden. Jede Medaille hat zwei Seiten. Ein Beispiel: Wie stellen wir etwa bei Avataren sicher, dass es sich um echte Partner handelt und nicht um Fake-Accounts? Aus Angst vor schlechter Presse und davor, noch mehr Hacker auf das eigene Unternehmen aufmerksam zu machen, scheuen sich viele Firmen immer noch davor, offen mit dem Thema umzugehen.
Die Erfolgsquoten von Phishing Mails liegen bei bis zu 50%. Wenn wir hier nicht mit Aufklärung und Kommunikation dagegen steuern, werden es wahrscheinlich immer mehr. Deshalb muss klar sein: Cyber-Sicherheit ist niemals alleinige Aufgabe der IT-Abteilung. Wir benötigen alle Mitarbeitenden. Quasi eine Human Firewall. Dies können wir einerseits durch Aufklärung erreichen. Andererseits durch Vorbild und Präsenz.
Unternehmen sollten sich im Umgang mit Cybersecurity drei Fragen stellen:
- Wie nehmen meine Mitarbeitenden Cybersecurity in unserem Unternehmen wahr?
- Liegt die Verantwortung lediglich in einer kleinen Abteilung oder ist sie in der Geschäftsführung und deren Denken fest verankert?
- Wie machen wir den Stellenwert von Cybersecurity für die gesamte Organisation sichtbar?
IT-Sicherheit ist kein einmaliges Projekt, sondern ein ständiger Prozess und Dialog. Wir müssen uns über unsere Fehler austauschen. Abteilungsunabhängig. Und vor allem: Ohne Angst, dafür an den Pranger gestellt zu werden. In Zeiten, in denen Daten das neue Gold sind und Kriege auch im Netz geführt werden, ist das wichtiger denn je.
Mit Security zum Trusted Partner
Was tun wir nun bei Vodafone dafür? Wir legen viel Wert darauf, Cybersecurity-Expertise nicht nur in den Security- versierten Fachbereichen zu stärken, sondern alle Mitarbeitenden mitzunehmen und in diesem Themenumfeld weiterzentwickeln. Cybersecurity bietet hierzu beispielsweise monatliche Security Insights-Sessions an, in denen top aktuelle Cyber-Themen vorgestellt werden. Das sorgt für Transparenz und zeigt Themenfelder auf, an denen gemeinsam gearbeitet wird. Für die persönliche und fachliche Weiterentwicklung stehen in unserer Learning & Development Plattform auch interne Trainings und Weiterbildungen zum Beispiel zum „Ethical Hacker“ oder „Certified Information Security Manager“ zur Verfügung. „Post Mortem Exercises“ nach kritischen Security Incidents gewährleisten einen fachbereichsübergreifenden Knowledge-Transfer und stellen sicher, die eigenen Prozesse und eingesetzte Technologie kritisch zu reflektieren und sofern nötig zu verbessern.
In Sachen Security Awareness führen wir jährlich sog. Phishing-Kampagnen durch. Diese dienen dazu, unsere Mitarbeitenden kontinuierlich zu sensibilisieren. Das ergänzen wir durch individuelle PenTests (Penetration Tests = simulierte Cyber-Angriffe) und Red/Purple Team Events, um unsere eigene Cyber-Resilienz zu stärken. Wichtig dabei is, Cybersecurity nicht als Silo zu betrachten, sondern fest in die Organisationsstruktur zu implementieren. Dafür haben wir unsere „Virtual Security Community“ etabliert: Jeder Fachbereich hat mindestens eine Person jeweils auf Arbeits- und Managementebene nominiert, die für Security-Belange in ihrem Bereich verantwortlich zeichnet.
Neben einer starken Cybersecurity Organisation unterstützen wir unsere Security Awareness-Prozesse durch „operational Cyber Defence“. Beispielsweise mittels „Responsible Disclousre“ von „zero-day-vulnerabilities“. Dies ist erst kürzlich bei der AVM Fritz!Box geschehen, um unsere Kund:innen vor aktuellen Cyber- Bedrohungen zu schützen. Um eine Hausnummer zu nennen: Es handelte sich dabei um mehr als als 3,5 Millionen Endgeräte.
Im Privatkundenbereich haben wir Lösungen im Einsatz, die es uns ermöglichen, Hackerangriffe in unseren Kundennetzen aufzuspüren (Abuse Management) und helfen, Kund:innen, die Opfer von Cyberattacken geworden sind, wieder sicher im Netz surfen zu lassen. Stichwort: Trusted Partner. Wir verarbeiten monatlich durchschnittlich ca. 4 Mio. digitale Informationen zu „Customer connection abuse“ von unseren Partnern und Sicherheitsbehörden, wie z. B. dem BSI CERT-Bund. Apropos BSI: Dass unsere Cybersecurity gut aufgestellt ist, zeigen auch unsere Security-Zertifizierungen, u. a. nach ISO 27001 und BSI Grundschutz, die wir kontinuierlich aufrechterhalten.
Außerdem scannen wir kontinuierlich unsere Systemlandschaft in der Cloud, im internen Netz und unserer Applikationslandschaft nach offenen Schwachstellen, bevor Hacker diese ausnutzen können. Und wenn trotzdem mal etwas schiefgeht, setzen wir auf eine starke Incident Response. Wir sollten das Thema nicht mehr totschweigen, sondern offen damit umgehen und aus den gemachten Fehlern lernen. Ähnlich wie bei „Tue Gutes und rede darüber“. Nur eben übersetzt in: Wurde ein Fehler gemacht, lass uns drüber reden, wo der Fehler im System lag, damit wir gemeinsam etwas gegen diese Schwachstellen im System tun können.
